本刊記者|舒文瓊

網(wǎng)絡安全最新報告：自動化和貨幣化趨勢愈演愈烈

本刊記者|舒文瓊

根據(jù)報告，網(wǎng)絡攻擊和網(wǎng)絡犯罪行為變得越來越自動化，分布式拒絕服務（DDoS）與網(wǎng)絡應用攻擊帶來的威脅持續(xù)增加，同時DDoS的貨幣化趨勢愈演愈烈。

所謂“道高一尺，魔高一丈”，從互聯(lián)網(wǎng)誕生之日起，網(wǎng)絡安全問題就隨之產(chǎn)生；而在安全防護技術(shù)不斷提升的同時，各種網(wǎng)絡攻擊和犯罪行為也是花樣不斷更新，形成了攻擊和防攻擊對陣的形勢。

在對抗網(wǎng)絡攻擊的過程中，了解和洞察互聯(lián)網(wǎng)上的各種安全威脅尤為重要。在此方面，Akamai公司依托遍布全球的分布式平臺，持續(xù)跟蹤網(wǎng)絡安全狀況并發(fā)布分析報告。近日，Akamai發(fā)布了2015年第二季度互聯(lián)網(wǎng)發(fā)展狀況安全報告。根據(jù)報告，網(wǎng)絡攻擊和網(wǎng)絡犯罪行為變得越來越自動化，分布式拒絕服務（DDoS）與網(wǎng)絡應用攻擊帶來的威脅持續(xù)增加，同時DDoS的貨幣化趨勢愈演愈烈。

技術(shù)進步成“雙刃劍”

John Ellis，Akamai亞太及日本區(qū)域首席網(wǎng)絡安全戰(zhàn)略專家，從事IT安全研究20年，他告訴記者，網(wǎng)絡攻擊和網(wǎng)絡犯罪行為的簡單化及自動化是網(wǎng)絡安全呈現(xiàn)出的最新特征。

“軟件和技術(shù)的進步，使得現(xiàn)在進行網(wǎng)絡攻擊和網(wǎng)絡犯罪的人員專業(yè)程度并不需要很高，提供給攻擊者的資源也越來越豐富和多樣，使得網(wǎng)絡犯罪這一原本屬于資源密集型的工作變得越來越簡單和自動化，攻擊來源也日益分散化。”John Ellis表示，“在互聯(lián)網(wǎng)黑市上，各種用于攻擊的軟件和設備自由交易，網(wǎng)絡攻擊者無需了解復雜的編碼編程，而是只了解如何使用這些工具，即可發(fā)動大規(guī)模網(wǎng)絡攻擊。由此也導致互聯(lián)網(wǎng)犯罪越來越多?！?/p>

分布式拒絕服務（DDoS）通過眾多合法的請求占用大量網(wǎng)絡資源，以達到癱瘓網(wǎng)絡服務的目的。根據(jù)Akamai的調(diào)查，DDoS最近也呈現(xiàn)出了新的趨勢，不僅在量上有持續(xù)增加的趨勢，而且攻擊的目的也變得貨幣化。

根據(jù)Akamai的調(diào)查，在過去3個季度內(nèi)，DDoS攻擊量同比增長了132%。盡管攻擊者傾向于發(fā)起不太強烈但持續(xù)時間較長的攻擊，但危險的大規(guī)模攻擊數(shù)量也在持續(xù)上升。2015年第二季度，12起攻擊的峰值流量超過了100Gbps，5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50Mpps，只有極少數(shù)企業(yè)能夠以一己之力承受住這樣的攻擊。

同時，DDoS攻擊行為的貨幣化趨勢越來越明顯。John Ellis表示，以前DDoS攻擊的主要目的是用來打擊競爭者，或者表明某些政治立場，但是現(xiàn)在DDoS攻擊團體會利用這種行為對企業(yè)進行勒索，他們會發(fā)動一些小型攻擊，以互聯(lián)網(wǎng)虛擬貨幣的形式進行勒索，這比現(xiàn)實的貨幣更容易支付，被勒索的受害人也比較容易支付這種貨幣。這就導致許多以前認為自己不太可能成為DDoS攻擊目標的企業(yè)，如今變成了DDoS攻擊的目標。

網(wǎng)絡攻擊方式和來源

以安全為目標的超文本傳輸協(xié)議HTTPS正在規(guī)模普及，而根據(jù)Akamai的調(diào)查，一種名為Shellshock的攻擊在2015年第一季度僅有9%通過HTTPS展開，在第二季度則升至56%。為什么HTTPS成為了網(wǎng)絡犯罪分子的最新攻擊對象？

John Ellis從兩個方面進行了分析：首先，從協(xié)議本身看，HTTPS是在HTTP原始協(xié)議基礎上增加TLS加密協(xié)議，HTTP環(huán)境下管道里的數(shù)據(jù)未經(jīng)過加密是可見的，在HTTPS環(huán)境下管道里的數(shù)據(jù)流量經(jīng)過加密不可見；其次，目前所使用的防火墻和防入侵軟件無法解密經(jīng)過HTTPS加密的流量，無法通過傳統(tǒng)方式來阻止對Web應用發(fā)動的攻擊。

“從攻擊的角度看，HTTP和HTTPS對于黑客而言沒有本質(zhì)上的區(qū)別，反而讓黑客們知道用HTTPS協(xié)議有一些敏感信息，從而讓他在發(fā)動攻擊時更有針對性。黑客會針對HTTPS采取解密工具和惡意流量注入的方式，從Web應用源頭入手混淆視聽，而用戶由于采用HTTPS而無法在傳輸過程中分辨流量內(nèi)容，反而為黑客分子大開方便之門?！?/p>

此外另一個值得注意的現(xiàn)象是，根據(jù)Akamai的統(tǒng)計，2015年第二季度DDoS攻擊的十大來源國和地區(qū)中，中國居然高居榜首，占比高達37%，比位于第二名美國的占比高出20%。

John Ellis認為，中國占比高首先是因為中國人口基數(shù)大；其次中國設備被惡意軟件感染的比例非常高，接近50%；再次，來自其他國家的黑客通過惡意代碼入侵中國的系統(tǒng)，將其組成僵尸網(wǎng)絡，這樣表面上看似來自中國的攻擊，其實背后的操縱者位于其他國家，這種被控制的機器在中國被叫做“肉機”。由于各國法律層面對此問題的規(guī)定并不健全，因此即使中國官方掌握了這一情況，也無法將真正的犯罪分子繩之以法。

需加強分析和預判

掌握網(wǎng)絡攻擊的最新動向并有針對性地采取措施，是行之有效的網(wǎng)絡防攻擊做法。

針對網(wǎng)絡攻擊自動化的趨勢，John Ellis建議相關(guān)公司加強對大數(shù)據(jù)的收集和分析，提升對于自動化機器的學習能力，并聘用足夠多的數(shù)據(jù)科學家，及時捕捉網(wǎng)絡異常狀況并采取防控措施。對于HTTPS成為網(wǎng)絡攻擊新對象的問題，John Ellis建議網(wǎng)絡架構(gòu)師從架構(gòu)方面入手，改變網(wǎng)絡架構(gòu)，以方便卸載加密協(xié)議，從而方便自己觀察到進入管道中流量的具體情況。而對于“肉機”的問題，John Ellis認為隨著個人聯(lián)網(wǎng)終端數(shù)量的不斷增多，被各種病毒入侵的風險也與日俱增，因此他建議用戶經(jīng)常為系統(tǒng)做升級、打補丁，盡可能消滅有可能被惡意人士利用的突破口。

在網(wǎng)絡安全方面，Akamai擁有遍布全球的CDN和服務器平臺，通過這一平臺，Akamai可以做到以下幾點：第一，Akamai的平臺可以近距離地觀察網(wǎng)絡攻擊行為，收集相關(guān)數(shù)據(jù)，并對惡意行為進行分析判斷；第二，Akamai的邊緣服務器分布在世界各地，可以隨時根據(jù)觀察到的惡意攻擊行為完善安全策略，并把更完善的安全策略反饋給平臺上的用戶；第三，DDoS攻擊中夾雜著正常業(yè)務流量，Akamai可以采取清洗中心的方式，除去惡意流量，留下正常流量，以保證數(shù)據(jù)中心應用的可用性。而由于Akamai的平臺分布在全球各地，無論用戶處在世界哪個角落，無論使用怎樣的設備，所有的Akamai邊緣服務器會同時執(zhí)行一致的安全策略。